Puede crear directivas de firewall distribuido (directivas de seguridad) en NSX y aplicarlas a los clústeres de contenedores de Antrea registrados para proteger el tráfico entre los pods dentro de un clúster de contenedores.
Se puede aplicar una directiva de seguridad de
NSX a varios clústeres de contenedores de
Antrea. Sin embargo, la directiva puede proteger el tráfico entre los pods dentro de un solo clúster de contenedores de
Antrea. El siguiente tráfico no está protegido:
- Tráfico de pod a pod entre clústeres de contenedores de Antrea.
- Tráfico entre pods en un clúster de contenedores de Antrea y máquinas virtuales en hosts en el entorno de NSX.
Cuando se aplica una directiva de seguridad de NSX a uno o más clústeres de contenedores de Antrea, el complemento de red de Antrea aplica esta directiva de seguridad en el Controlador de Antrea de cada clúster de contenedores. En otras palabras, el punto de implementación de la directiva de seguridad es el Controlador de Antrea de cada clúster de contenedores de Antrea.
Funciones de directiva de seguridad compatibles con clústeres de contenedores de Antrea
- Solo se pueden aplicar directivas de seguridad de capa 3 y 4 a clústeres de contenedores de Antrea. Se admiten las reglas de las siguientes categorías de firewall: Emergencia, Infraestructura, Entorno y Aplicación.
- Las categorías Orígenes, Destinos y Se aplica a de una regla solo pueden contener grupos de Antrea.
- Se admite la categoría Aplicado a tanto a nivel de directiva como a nivel de regla. Si se especifican ambos, la categoría Se aplica a tendrá preferencia a nivel de directiva.
- Se admiten los servicios, incluida la combinación de protocolo y puerto sin formato. Sin embargo, se aplican las siguientes restricciones:
- Solo se admiten los protocolos TCP y UDP. No se admiten los demás servicios.
- En las combinaciones de puertos y protocolos sin formato, se admiten los tipos de servicio TCP y UDP.
- Solo se admiten puertos de destino.
- Se admiten estadísticas de directivas y estadísticas de reglas. Las estadísticas de reglas no se agregan para todos los clústeres de contenedores de Antrea a los que se aplica la directiva de seguridad. En otras palabras, se muestran estadísticas de reglas para cada clúster de contenedores de Antrea.
Funciones de directiva de seguridad no admitidas para clústeres de contenedores de Antrea
- No se admiten reglas de capa 2 (Ethernet) basadas en direcciones MAC.
- No se admiten reglas de capa 7 basadas en perfiles de contexto. Por ejemplo, reglas basadas en el identificador de aplicación, FQDN, etc.
- Los grupos de Antrea con direcciones IP no se admiten en la categoría Se aplica a de la directiva de seguridad y las reglas de firewall.
- No se admite la programación basada en tiempo de las reglas.
- Los grupos de Antrea no se admiten en una lista de exclusión de firewall. ( ).
- No se admite la negación ni la exclusión de los grupos de Antrea que seleccionó en los orígenes o los destinos de una regla de firewall.
- No se admite el firewall de identidad.
- Los grupos globales creados para un entorno federado de NSX no se pueden utilizar en las directivas de seguridad que se aplican a los clústeres de contenedores de Antrea.
- La configuración avanzada de directivas no admite los siguientes ajustes:
- TCP estricto
- Con estado